C0195
La Afirmación
“Se ignoraron las mejores prácticas de seguridad al implementar la aplicación COVIDSafe, optando por no ejecutar un programa de recompensas por errores (bug bounty) y por no publicar el código fuente con prontitud, a pesar de las promesas de hacerlo, lo que provocó que múltiples vulnerabilidades fueran descubiertas por investigadores mucho después de lo que deberían haber sido.”
Fuente Original: Matthew Davis
Fuentes Originales
✅ VERIFICACIÓN DE HECHOS
The claim that the Australian government ignored security best practices with the COVIDSafe app is substantially accurate, though it requires important clarification regarding timing and context.
Delayed Response to Vulnerabilities: Within hours of COVIDSafe's release on April 26, 2020, security researcher Jim Mussared discovered multiple privacy issues in the Android version by 1:19am on April 27 [1]. He detailed these vulnerabilities in a comprehensive report and emailed the Department of Health, Digital Transformation Agency (DTA), Australian Signals Directorate (ASD), and the Australian Cyber Security Centre (ACSC) on April 27-28 [1]. However, Mussared only received a single-line response from the DTA a week later on May 5, and this response came only after media began making inquiries [1]. In comparison, Mussared confirmed that he was able to reach Singapore's team (which developed TraceTogether, the app Australia modeled COVIDSafe on) within hours and had some issues fixed by them [1].
No Formal Bug Bounty Program: The government did not establish a formal bug bounty program for COVIDSafe. According to cybersecurity experts quoted in authoritative sources, "the best practices would be a formal disclosure program and a bug bounty program, and a commitment to getting the bugs fixed" [1]. This represents a significant departure from best practices. For comparison, the UK government's approach to its NHS COVID-19 app included more structured vulnerability disclosure processes [1].
Delayed Source Code Publication: While Australia eventually released source code (app code was published on April 28, 2020), there were significant delays and transparency issues [1]. Cryptographer Dr. Vanessa Teague noted that "Singapore released app and server code weeks ago" while "Aus & the UK released app code, and no server code, within the last 24 hours" [1]. Critically, Australia only released application code—not the server code where "the server does all the crypto" [1]. The government also failed to publish whitepapers explaining the cryptographic design and security assumptions, unlike Singapore and the UK [1].
Multiple Vulnerabilities Discovered Over Time: Researchers identified at least four major vulnerabilities in COVIDSafe that were discovered at different times throughout 2020 [2]:
- A bug in how COVIDSafe reads Bluetooth messages on iPhones, causing some encrypted messages to be garbled [2]
- CVE-2020-14292: A vulnerability allowing long-term tracking of Android devices [2]
- CVE-2020-12856: A flaw affecting Android versions 1.0.17 and earlier, allowing attackers to bond silently with Android phones [2]
- A critical concurrency flaw in encryption code (versions 1.0.18 to 1.0.27) where a single Cipher instance was shared across threads without synchronization [2]
These were not all discovered simultaneously, but rather identified as researchers examined the code over weeks and months [2].
Lack of Engagement with Research Community: The government did not adequately engage with researchers raising concerns. Dr. Vanessa Teague and colleagues reported problems with the application, but communication was difficult [1]. The Australian Digital Transformation Agency only published an email address where researchers "could provide feedback" rather than establishing a formal, responsive vulnerability disclosure program [1].
Contexto Faltante
Sin embargo, la afirmación requiere un contexto significativo que afecta su interpretación: **Cronología apresurada y respuesta a la pandemia:** La aplicación COVIDSafe se desarrolló en respuesta a una crisis urgente de pandemia y fue lanzada rápidamente [3].
However, the claim requires significant context that affects interpretation:
**Rushed Timeline and Pandemic Response:** The COVIDSafe app was developed in response to an urgent pandemic crisis and was released quickly [3].
El gobierno estaba desarrollando tecnología a un ritmo sin precedentes durante una emergencia de salud pública. The government was developing technology at an unprecedented pace during a public health emergency.
Aunque esto explica la urgencia, no excusa el fracaso en implementar prácticas de seguridad de nivel industrial; de hecho, las hace más importantes, no menos [3]. **Rendición de cuentas del gobierno vs. análisis comparativo:** El gobierno eventualmente respondió a algunos problemas. While this explains the urgency, it does not excuse the failure to implement industry-standard security practices—in fact, it makes them more important, not less [3].
**Government Accountability vs.
Después de que la comunidad investigadora identificó vulnerabilidades, la DTA y la Dirección de Señales de Australia sí aplicaron un parche a la falla de concurrencia del cifrado, por lo cual los investigadores les agradecieron [2]. Comparative Analysis:** The government did eventually respond to some issues.
Sin embargo, el fracaso inicial del gobierno en establecer mecanismos proactivos de divulgación de vulnerabilidades significó que las correcciones llegaron reactivamente en lugar de sistemáticamente. **Comparación con estándares internacionales:** La aplicación de rastreo de contactos de Singapur (TraceTogether), en la que Australia modeló COVIDSafe, demostró que una divulgación de vulnerabilidades más rápida y prácticas de seguridad más transparentes eran factibles incluso en un contexto de pandemia. After the research community identified vulnerabilities, the DTA and Australian Signals Directorate did patch the encryption concurrency flaw, which researchers thanked them for addressing [2].
Del mismo modo, el enfoque del Reino Unido, aunque no perfecto, fue significativamente más transparente con documentación técnica (whitepapers) y un compromiso más rápido con los investigadores [1]. **Escala del impacto:** Aunque los problemas de seguridad de COVIDSafe fueron reales, la aplicación finalmente no logró proporcionar valor epidemiológico. However, the government's initial failure to establish proactive vulnerability disclosure mechanisms meant fixes came reactively rather than systematically.
**Comparison to International Standards:** Singapore's contact tracing app (TraceTogether), which Australia modeled COVIDSafe after, demonstrated that faster vulnerability disclosure and more transparent security practices were feasible even in a pandemic context.
Un informe confidencial del gobierno de consultores independientes encontró que "la utilización de COVIDSafe...resultó en altos costos de transacción para los equipos de rastreo de contactos estatales y produjo pocos beneficios" [3]. Similarly, the UK's approach, while not perfect, was significantly more transparent with whitepaper documentation and faster engagement with researchers [1].
**Scale of Impact:** While COVIDSafe's security issues were real, the app ultimately failed to deliver epidemiological value.
Para cuando la aplicación fue dada de baja, había descubierto solo dos casos positivos y 17 contactos cercanos durante todo su período de actividad [3]. A confidential government report by independent consultants found that "the utilisation of COVIDSafe...resulted in high transaction costs for state contact tracing teams and produced few benefits" [3].
Las vulnerabilidades de seguridad, por lo tanto, ocurrieron en una aplicación que ya era fundamentalmente ineficaz para su propósito declarado. By the time the app was decommissioned, it had discovered only two positive cases and 17 close-contacts during its entire period of activity [3].
Evaluación de Credibilidad de Fuente
Las fuentes originales proporcionadas son creíbles y bien documentadas: **Artículo de ZDNET [1]:** ZDNET es una publicación tecnológica convencional propiedad de Ziff Davis Media y es ampliamente reconocida como una fuente creíble para reportajes tecnológicos.
The original sources provided are credible and well-documented:
**ZDNET Article [1]:** ZDNET is a mainstream technology publication owned by Ziff Davis Media and is widely recognized as a credible source for technology reporting.
El artículo de Stilgherrian, un periodista tecnológico reconocido, se basa en reportajes directos de Jim Mussared (un investigador de seguridad) y la Dra. The article by Stilgherrian, a noted technology journalist, is based on direct reporting from Jim Mussared (a security researcher) and Dr.
Vanessa Teague (una criptógrafa respetada). Vanessa Teague (a respected cryptographer).
El artículo está basado en hechos y documentado [1]. **Artículo de ITNews [2]:** ITNews.com.au es una publicación de noticias tecnológicas australianas con una sólida reputación por reportajes precisos. The article is fact-based and documented [1].
**ITNews Article [2]:** ITNews.com.au is an Australian technology news publication with a solid reputation for accurate reporting.
El artículo documenta vulnerabilidades identificadas por múltiples investigadores respetados (Chris Culnane, Ben Frengley, Eleanor McMurtry, Jim Mussared, Yaakov Smith, Vanessa Teague y Alwen Tiu) y se basa en su documentación detallada de GitHub [2]. **Documentación de GitHub [3]:** El repositorio de GitHub mantenido por Vanessa Teague y otros contiene análisis técnico y documentación de la cronología. The article documents vulnerabilities identified by multiple respected researchers (Chris Culnane, Ben Frengley, Eleanor McMurtry, Jim Mussared, Yaakov Smith, Vanessa Teague, and Alwen Tiu) and is based on their detailed GitHub documentation [2].
**GitHub Documentation [3]:** The GitHub repository maintained by Vanessa Teague and others contains technical analysis and timeline documentation.
Esta es una fuente primaria escrita por los propios investigadores de seguridad y es altamente creíble para comprender qué fue descubierto y cuándo [3]. This is a primary source authored by security researchers themselves and is highly credible for understanding what was discovered and when [3].
Estas fuentes no son propaganda partidista; son reportajes factuales de respetados periodistas tecnológicos y expertos en criptografía que documentan problemas de seguridad en una aplicación gubernamental. These sources are not partisan advocacy; they are factual reporting by respected technology journalists and cryptography experts documenting security issues in a government application.
⚖️
Comparación con Labor
**¿Hizo el Labor algo similar con las prácticas de seguridad tecnológica?** Esta pregunta es algo difícil de evaluar directamente porque el Labor no estuvo en el poder durante la pandemia de COVID-19 (la Coalición gobernó 2013-2022, mientras que el Labor ganó las elecciones de 2022).
**Did Labor do something similar with technology security practices?**
This question is somewhat difficult to assess directly because Labor was not in power during the COVID-19 pandemic (the Coalition governed 2013-2022, while Labor won the 2022 election).
Sin embargo, existe algún contexto histórico relevante: **Iniciativas tecnológicas del gobierno anterior del Labor:** Durante el período del Labor en el gobierno 2007-2013, persiguió varias iniciativas tecnológicas con resultados mixtos, incluyendo la Red Nacional de Banda Ancha (NBN). However, some relevant historical context exists:
**Prior Labor Government Technology Initiatives:** During Labor's 2007-2013 period in government, it pursued various technology initiatives with mixed results, including the National Broadband Network (NBN).
El proyecto NBN enfrentó críticas por sobrecostos y desafíos de implementación, pero estos estaban más relacionados con la gestión de proyectos y el despliegue de infraestructura en lugar de prácticas de seguridad en aplicaciones específicas [4]. **Políticas de ciberseguridad propuestas por la oposición:** Durante la pandemia, el Ministro Asistente de Ciberseguridad en la Sombra del Labor, Tim Watts, señaló el modelo del Reino Unido de una "plataforma centralizada de divulgación de vulnerabilidades" operada por HackerOne como un mejor enfoque [1]. The NBN project faced criticism for cost overruns and implementation challenges, but these were more related to project management and infrastructure deployment rather than security practices in specific applications [4].
**Proposed Opposition Cyber Security Policies:** During the pandemic, Labor's Shadow Assistant Cyber Security Minister Tim Watts pointed to the UK's model of a "central vulnerability disclosure platform" operated by HackerOne as a better approach [1].
El Labor estaba proponiendo tales medidas como política, sugiriendo que la oposición reconoció que el enfoque de la Coalición era deficiente [1]. Labor was proposing such measures as policy, suggesting the opposition recognized that the Coalition's approach was deficient [1].
Esto implica que el Labor probablemente habría implementado mejores prácticas, pero esta es una alternativa propuesta en lugar de un historial comprobado. **Cultura de seguridad a nivel gubernamental:** No hay evidencia de que el Labor bajo el gobierno Albanese (2022-presente) haya implementado prácticas de seguridad fundamentalmente diferentes para aplicaciones críticas. This implies Labor would likely have implemented better practices, but this is a proposed alternative rather than a demonstrated track record.
**Government-Wide Security Culture:** There is no evidence that Labor under Albanese government (2022-present) has implemented fundamentally different security practices for critical applications.
El problema parece ser más sistémico en todo el gobierno australiano en lugar de partidista. The issue appears to be more systemic across Australian government rather than partisan.
🌐
Perspectiva Equilibrada
**La posición del Gobierno:** La DTA actuó bajo una presión de tiempo extraordinaria durante una pandemia.
**The Government's Position:** The DTA acted under extraordinary time pressure during a pandemic.
Establecer programas formales de recompensas por errores y publicar documentación de seguridad integral requiere procesos que típicamente toman semanas o meses. Establishing formal bug bounty programs and publishing comprehensive security documentation requires processes that typically take weeks or months.
El gobierno priorizó el despliegue rápido sobre las prácticas de seguridad en capas que habrían sido ideales en circunstancias normales. **Sin embargo, esto no excusa el enfoque:** La comparación internacional muestra que las prácticas de seguridad transparentes no son incompatibles con el despliegue rápido. The government prioritized rapid deployment over the layered security practices that would have been ideal under normal circumstances.
**However, This Does Not Excuse the Approach:** International comparison shows that transparent security practices are not incompatible with rapid deployment.
Singapur y el Reino Unido publicaron documentación más integral y establecieron canales de comunicación más rápidos con los investigadores, incluso durante la misma emergencia de pandemia [1]. Singapore and the UK both released more comprehensive documentation and established faster communication channels with researchers, even during the same pandemic emergency [1].
La explicación "era urgente" proporciona contexto pero no justifica abandonar por completo las prácticas de seguridad de nivel industrial. **El problema sistémico más amplio:** El análisis académico del ecosistema tecnológico COVID de Australia sugiere que esto fue parte de un problema más amplio: "La elección de Australia de anunciar y diseñar indicadores visuales de seguridad, por ejemplo, una 'marca verde' para los registros, persistió a expensas de fuertes protecciones criptográficas" [3]. The "it was urgent" explanation provides context but does not justify abandoning industry-standard security practices entirely.
**The Broader Systemic Issue:** The academic analysis of Australia's COVID technology ecosystem suggests this was part of a broader problem: "Australia's choice to advertise and design visual indicators of security—e.g., a 'green tick' for check ins—persistently came at the cost of strong cryptographic protections" [3].
Esto representa no solo una cuestión de presión de cronología sino una diferencia filosófica fundamental en el enfoque de la seguridad. **Distinción clave:** Elegir las mejores prácticas de seguridad no es un lujo adicional; es fundamental. This represents not just a matter of timeline pressure but a fundamental philosophical difference in approaching security.
**Key Distinction:** Choosing security best practices is not a luxury add-on; it's foundational.
El fracaso del gobierno en implementar la divulgación formal de vulnerabilidades, publicar el código completo o establecer programas de recompensas por errores significó que: - Los problemas de seguridad fueron descubiertos por investigadores externos y reportados a agencias gubernamentales poco receptivas - Las correcciones se implementaron reactivamente en lugar de proactivamente - El gobierno no se benefició de la auditoría de seguridad crowdsourced - La confianza pública se erosionó por las malas prácticas de seguridad The government's failure to implement formal vulnerability disclosure, publish complete code, or establish bug bounty programs meant that:
- Security issues were discovered by external researchers and reported to unresponsive government agencies
- Fixes were implemented reactively rather than proactively
- The government didn't benefit from crowdsourced security auditing
- Public trust was eroded by poor security practices
VERDADERO
8.5
/ 10
El gobierno de la Coalición sí ignoró las mejores prácticas de seguridad al implementar la aplicación COVIDSafe.
The Coalition government did ignore security best practices when deploying the COVIDSafe app.
El gobierno optó por no establecer un programa formal de recompensas por errores [1], no publicó con prontitud el código fuente completo (solo el código de la aplicación, no el del servidor) [1], y fracasó en establecer procesos receptivos de divulgación de vulnerabilidades [1]. The government chose not to establish a formal bug bounty program [1], did not promptly publish complete source code (only app code, not server code) [1], and failed to establish responsive vulnerability disclosure processes [1].
Estas vulnerabilidades, incluyendo CVE-2020-14292, CVE-2020-12856, distorsión de mensajes Bluetooth y fallas de concurrencia del cifrado, fueron descubiertas por investigadores con el tiempo y reportadas a un aparato gubernamental poco receptivo [1][2]. These vulnerabilities—including CVE-2020-14292, CVE-2020-12856, Bluetooth message garbling, and encryption concurrency flaws—were discovered by researchers over time and reported to an unresponsive government apparatus [1][2].
Las comparaciones internacionales (Singapur, Reino Unido) demuestran que estas fueron fallas de elección, no de necesidad [1][3]. International comparisons (Singapore, UK) demonstrate these were failures of choice, not necessity [1][3].
Puntuación Final
8.5
/ 10
VERDADERO
El gobierno de la Coalición sí ignoró las mejores prácticas de seguridad al implementar la aplicación COVIDSafe.
The Coalition government did ignore security best practices when deploying the COVIDSafe app.
El gobierno optó por no establecer un programa formal de recompensas por errores [1], no publicó con prontitud el código fuente completo (solo el código de la aplicación, no el del servidor) [1], y fracasó en establecer procesos receptivos de divulgación de vulnerabilidades [1]. The government chose not to establish a formal bug bounty program [1], did not promptly publish complete source code (only app code, not server code) [1], and failed to establish responsive vulnerability disclosure processes [1].
Estas vulnerabilidades, incluyendo CVE-2020-14292, CVE-2020-12856, distorsión de mensajes Bluetooth y fallas de concurrencia del cifrado, fueron descubiertas por investigadores con el tiempo y reportadas a un aparato gubernamental poco receptivo [1][2]. These vulnerabilities—including CVE-2020-14292, CVE-2020-12856, Bluetooth message garbling, and encryption concurrency flaws—were discovered by researchers over time and reported to an unresponsive government apparatus [1][2].
Las comparaciones internacionales (Singapur, Reino Unido) demuestran que estas fueron fallas de elección, no de necesidad [1][3]. International comparisons (Singapore, UK) demonstrate these were failures of choice, not necessity [1][3].
📚 FUENTES Y CITAS (6)
-
1
zdnet.com
Best practice would suggest that making source code available and responding quickly to reported vulnerabilities is a given for government apps, but not yet in Australia.
ZDNET -
2
itwire.com
A number of researchers have detailed four major vulnerabilities in the Australian Government's COVIDSafe application for the iPhone and Android systems, and advised users to upgrade at once. The main patches issued were to fix: A bug in the way COVIDSafe reads Bluetooth messages on iPhones. Thi...
Researchers outline flaws in COVIDSafe app, urge users to upgrade -
3
arxiv.org
Arxiv
-
4PDF
report on the operation and effectiveness of covidsafe and the national covidsafe data store 0
Health Gov • PDF Document -
5
ncbi.nlm.nih.gov
Timely and effective contact tracing is an essential public health measure for curbing the transmission of COVID-19. App-based contact tracing has the potential to optimize the resources of overstretched public health departments. However, its ...
PubMed Central (PMC) -
6
pmc.ncbi.nlm.nih.gov
The global and national response to the COVID-19 pandemic has been inadequate due to a collective lack of preparation and a shortage of available tools for responding to a large-scale pandemic. By applying lessons learned to create better ...
PubMed Central (PMC)
Metodología de la Escala de Calificación
1-3: FALSO
Fácticamente incorrecto o fabricación maliciosa.
4-6: PARCIAL
Algo de verdad pero falta contexto o está sesgado.
7-9: MAYORMENTE VERDADERO
Tecnicismos menores o problemas de redacción.
10: PRECISO
Perfectamente verificado y contextualmente justo.
Metodología: Las calificaciones se determinan mediante la verificación cruzada de registros gubernamentales oficiales, organizaciones independientes de verificación de hechos y documentos de fuentes primarias.